Estudo da Vantico mostra que mais de um quarto das vulnerabilidades de alta severidade seguem expostas por períodos superiores a 70 dias, mesmo depois de identificadas e documentadas em relatórios detalhados de testes de intrusão. A terceira edição do Inside Pentesting, levantamento anual que consolida centenas de pentests realizados ao longo de 2025, revela um quadro incômodo: o problema central da segurança ofensiva não está apenas em encontrar falhas, mas principalmente em corrigi-las com a velocidade que o cenário atual de ameaças exige.
Entre as vulnerabilidades classificadas como altas, 27% continuaram abertas por mais de 70 dias após a entrega do relatório técnico ao cliente. No caso das vulnerabilidades críticas, 16% seguiram sem correção no mesmo intervalo. Isso significa que, mesmo com a falha descoberta, descrita, priorizada e muitas vezes acompanhada de recomendações de mitigação, uma parcela significativa das empresas não consegue transformar diagnóstico em ação dentro de um prazo minimamente seguro.
Esse dado, por si só, já seria motivo de preocupação. No entanto, o contexto atual amplifica o risco: campanhas de phishing geradas por inteligência artificial cresceram 1.265% em 2025, e atacantes passaram a explorar vulnerabilidades recém-divulgadas em questão de horas. Em um ambiente em que o tempo entre a publicação de uma falha e sua exploração ativa despenca, manter brechas abertas por mais de dois meses é praticamente um convite a invasões bem-sucedidas.
O estudo chama atenção para um descompasso estrutural: de um lado, as organizações vêm investindo mais em testes ofensivos, ampliando o escopo e sofisticando metodologias; de outro, os times responsáveis por corrigir os problemas identificados seguem sufocados por rotinas operacionais, mudanças constantes de prioridades e falta de integração entre segurança, desenvolvimento e infraestrutura. Como resultado, forma-se uma janela de exposição ampla, entre a identificação da vulnerabilidade e sua efetiva correção, que mantém ambientes críticos desprotegidos por longos períodos.
A análise da Vantico também mostra uma mudança consistente no perfil dos testes realizados. Em 2025, a modalidade gray box foi a mais utilizada, presente em 55,9% dos projetos e superando, pelo segundo ano consecutivo, a abordagem black box tradicional. No modelo gray box, o profissional de teste recebe algum nível de informação prévia sobre o ambiente – como credenciais de baixo privilégio, documentação parcial ou detalhes arquiteturais – simulando cenários em que um invasor já obteve acesso limitado, seja por comprometimento de um parceiro, seja por roubo de credenciais.
Essa preferência pelo gray box não é casual. Ela reflete uma visão mais realista dos vetores atuais de ataque. Em vez de apenas simular um atacante completamente externo, sem conhecimento prévio, as empresas começam a considerar que boa parte das ameaças hoje parte de acessos internos, movimentos laterais ou exploração de contas já comprometidas. Com isso, torna-se possível avaliar, de forma mais fiel, o quanto um invasor consegue escalar privilégios ou movimentar-se dentro do ambiente a partir de um ponto inicial de comprometimento.
Outro movimento importante observado em 2025 foi a explosão de APIs como superfície de ataque avaliada. A participação de APIs nos testes quase dobrou, saltando de 5,6% dos projetos em 2024 para 11,2% em 2025. Essa mudança acompanha a adoção acelerada de arquiteturas baseadas em microsserviços, integrações com terceiros, aplicativos móveis e ecossistemas digitais mais abertos. Cada nova integração, porém, adiciona pontos de exposição, muitas vezes sem que a equipe de segurança tenha visibilidade completa ou processos maduros de revisão, hardening e monitoramento dessas interfaces.
No recorte por tipo de vulnerabilidade, o estudo confirma uma tendência persistente: problemas de configuração inadequada continuam dominando. A categoria Security Misconfiguration (A05:2021) respondeu por 43,2% de todas as falhas identificadas, mais que o dobro da segunda colocada, “Falhas de Identificação e Autenticação”, que representou 10,9%. Em termos práticos, quase metade de todas as vulnerabilidades encontradas em 2025 derivam de configurações inseguras ou padrões inadequados em servidores, aplicações, bancos de dados, serviços em nuvem e componentes de infraestrutura.
O mais preocupante é que boa parte desses erros de configuração já é amplamente conhecida: portas desnecessárias abertas, serviços com credenciais padrão, permissões excessivas, logs sensíveis acessíveis, painéis administrativos expostos, entre outros. São problemas com soluções documentadas há anos, e mesmo assim seguem aparecendo com grande frequência. Isso indica que o desafio não é falta de conhecimento técnico, mas sim lacunas de governança, automação, padronização de ambientes e fiscalização contínua da postura de segurança.
Curiosamente, o levantamento mostra uma queda percentual nas vulnerabilidades críticas e altas em relação ao ano anterior. As falhas críticas diminuíram de 7,8% para 5,08%, enquanto as de alta severidade passaram de 15,4% para 8,01%. À primeira vista, os números podem sugerir um amadurecimento das empresas na construção de sistemas mais seguros. No entanto, a própria Vantico alerta que essa leitura exige cautela: a redução pode refletir avanços reais em segurança, mas também pode indicar que os ambientes mais sensíveis estão sendo testados com menor frequência ou com escopos mais restritos.
Essa dualidade reforça a necessidade de não olhar apenas para a quantidade de vulnerabilidades, mas também para onde e como elas estão sendo buscadas. Ambientes críticos, como sistemas de pagamento, plataformas que processam dados sensíveis ou infraestruturas industriais, muitas vezes são considerados “estáveis demais para mexer”, o que leva a ciclos de teste mais espaçados. Isso pode reduzir artificialmente o número de vulnerabilidades detectadas, ao custo de manter ativos estratégicos potencialmente expostos.
Quando o foco se volta para a capacidade de correção, o cenário se torna mais desafiador. Os dados de remediação se movimentam na direção oposta à relativa queda nas vulnerabilidades detectadas. O percentual de falhas críticas e altas sem correção após 70 dias revela um gargalo claro na etapa de resposta. O estudo aponta duas causas principais para esse atraso: a dificuldade de encaixar as correções na rotina operacional – especialmente em ambientes que exigem janelas de manutenção complexas ou têm baixa tolerância a downtime – e problemas de priorização, mesmo quando o relatório já fornece critérios de risco baseados em impacto e probabilidade de exploração.
Na prática, muitas equipes de TI e desenvolvimento enfrentam um conflito permanente entre entregar novas funcionalidades, manter sistemas estáveis, atender demandas do negócio e, ao mesmo tempo, implementar correções de segurança. Sem processos maduros de gestão de vulnerabilidades, sem SLAs bem definidos e sem patrocinadores executivos cobrando prazos, as correções tendem a ser empurradas para depois – até que um incidente real obriga todos a reagirem às pressas.
As diferenças por setor econômico também são reveladoras. Áreas como Jurídico (11%), Turismo (14,3%) e Energia (16,7%) registraram as menores taxas de correção para vulnerabilidades críticas e altas dentro dos prazos considerados adequados. Isso pode estar relacionado a estruturas de TI mais enxutas, alta dependência de sistemas legados, forte regulação ou mesmo menor cultura de segurança digital em comparação a setores naturalmente mais pressionados por incidentes.
Na outra ponta, Telecomunicações e Varejo conseguiram alcançar 100% de remediação das vulnerabilidades críticas e altas dentro dos prazos analisados. Esses segmentos convivem com grandes volumes de dados de clientes, elevada exposição pública e histórico de ataques frequentes, o que tende a acelerar a maturidade dos processos de resposta. Em ambientes onde uma interrupção ou vazamento se traduz rapidamente em perdas financeiras e danos de reputação, a pressão interna por corrigir falhas é muito maior.
O pano de fundo para todos esses números é a evolução do cenário de ameaças em 2025. Phishing e engenharia social permaneceram como os principais vetores de ataque externo, agora potencializados pela inteligência artificial. O ano registrou um aumento de 1.265% em ataques de phishing gerados com IA, com mensagens mais personalizadas, contextualizadas e difíceis de diferenciar de comunicações legítimas. Além disso, 16% das violações de dados envolveram, de alguma forma, o uso de IA pelos atacantes: 37% para criação de campanhas de phishing e 35% associadas a deepfakes usados em fraudes, golpes financeiros ou engenharia social avançada.
O componente humano continua no centro do problema. De acordo com o estudo, o fator humano esteve presente em 60% dos vazamentos de dados ao longo de 2025, seja por erro, descuido, falta de treinamento, má configuração ou decisões operacionais frágeis. Em outras palavras, mesmo com investimentos em tecnologia, a combinação de pressa, desconhecimento e processos mal desenhados segue abrindo portas para invasores.
É justamente nesse contexto que a janela de 70 dias se torna tão perigosa. De um lado, atacantes têm à disposição ferramentas de automação, IA generativa e bases de dados com vulnerabilidades recentes, o que lhes permite explorar brechas em questão de horas ou poucos dias. De outro, as empresas ainda levam semanas ou meses para aplicar patches, revisar configurações ou implementar compensações adequadas. O resultado é um desequilíbrio estrutural entre a velocidade do ataque e o ritmo da defesa.
Para reduzir essa distância, o estudo indica a necessidade de repensar a segurança ofensiva como um ciclo contínuo e integrado, não como um evento pontual. Fazer pentest uma ou duas vezes por ano, sem um processo robusto de acompanhamento das correções, deixa de fazer sentido em um cenário de ameaças tão dinâmico. É fundamental que os resultados dos testes alimentem rotinas de gestão de vulnerabilidades, com responsáveis claros, prazos definidos, métricas de remediação e acompanhamento próximo por parte da liderança.
Outra recomendação implícita nos dados é o fortalecimento da automação. Muitos problemas de misconfiguration podem ser prevenidos com o uso de infraestrutura como código, pipelines de DevSecOps, varreduras automatizadas e políticas de compliance contínuo em ambientes de nuvem. Quanto menos dependente de ações manuais e listas de verificação isoladas for o processo, menor a chance de uma configuração insegura persistir sem ser percebida.
Do ponto de vista estratégico, a priorização precisa considerar não só a severidade técnica da vulnerabilidade, mas também o contexto de negócio: onde está o ativo afetado, que tipo de dado ele processa, qual o impacto de uma interrupção, que exposição pública existem. Uma falha classificada como “alta” em um sistema periférico pode ser menos urgente do que uma falha “média” em um ambiente que concentra informações sensíveis ou controla operações críticas.
Investir em capacitação também se torna indispensável. O domínio de conceitos como exploração de APIs, hardening de serviços em nuvem, segurança de microsserviços e autenticação moderna (como MFA, OAuth, OpenID Connect) já não é opcional para equipes técnicas. Da mesma forma, áreas de negócio e liderança precisam compreender o que significam janelas de exposição de 70 dias e qual é o risco real de manter vulnerabilidades conhecidas sem correção.
Por fim, o recado central do Inside Pentesting 2025 é claro: diagnosticar melhor não basta. O verdadeiro diferencial competitivo em segurança cibernética está na capacidade de reagir rápido, corrigir com consistência e transformar aprendizados de testes ofensivos em melhorias permanentes de processos, arquiteturas e cultura. Enquanto a velocidade dos ataques continuar crescendo e as correções seguirem presas a rotinas lentas, a balança seguirá pendendo a favor dos invasores.